热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

面对全新的编程语言,这些思路可以帮助你察觉漏洞

为了直观体现代码审计思想,对漏洞情景进行了简化。前提:漏洞理应存在于所有语言之中,如果面对完全陌生的全新语言,有哪些思路可

为了直观体现代码审计思想,对漏洞情景进行了简化。

前提:漏洞理应存在于所有语言之中,如果面对完全陌生的全新语言,有哪些思路可以帮助我们察觉漏洞?本文将帮助你更深刻地领悟漏洞的成因,提升代码审计水平。


一,安全标准不一致

一门新的编程语言,作为后端处理程序,肯定是需要与中间件/数据库等其他模块相联系的,如果它们对待请求的安全标准不同,就可能导致安全问题。下面我们用一些已知语言的例子来演示这一点。


案例一 WSGI与中间件不一致

image.png

WSGI作为桥梁连接中间件和应用程序,而作为应用程序的这个全新的编程语言也会在这一环节安全问题。

WSGI与中间件具有重合的管辖领域,或者WSGI与应用程序具有重合的管控范围,就可能出现问题。
nginx+gunicorn为例。
gunicorn是在中间件和pytho之间的一个桥梁,它是图中WSGI的一种,也可以处理http请求。
如果中间件是nginx,它和gunicorn都有权力检查http请求,此时就可能出现问题。
python部分


【一一帮助安全学习,所有资源获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析


image.png

nginx部分
image.png

此时,nginx对待请求和gunciron对待请求的标准不同。构造/privateHTTP/1.1/…/…/public。
nginx会解析…/返回上级目录,认为该请求是访问/public,安全地放行传给gunicron,而gunicorn不会这样解析,反而认为是发送了两个包,解析为访问/private和访问/public。这样就绕过了安全检查。


案例二 数据类型安全标准不一致

这门全新的编程语言势必有多种数据类型来满足不同的需求,如列表、数组等等。这时安全标准不一致就可能导致问题。
no-sql一度认为不可被注入,最后却败于这一点。
mongodb+js为例。
mongodb舍弃了sql语句,规范写法不采用拼接方式调用执行。即使采用安全规范,与php组合也容易出现问题。
mongdb部分
image.png

js部分
image.png

这里是无法拼接跳出的,字符串就是字符串,然而,借助js与php类似的可以传入数组参数的特性,构造/login?username=admin&password['$ne']=1可以让mongdb解析为db.Users.find({username:'admin',password:{'$ne':'1'}});这里的$ne是mongodb的操作符,意思为不等于,此时语义使得admin密码不为1即可登入成功。


案例三 多种注入防御机制不一致

这门新的编程语言往往需要在不同情景输入/输出,输出在html可能导致xss注入,输出在mysql可能导致sql注入。我们可以采用一些安全措施来限制它们的产生,但是这两种防御机制不相容时就会出现问题。

以xss注入防御+sql注入防御为例。
xss防御部分:
删去所有标签
sql防御部分:
删去黑名单关键字
总体效果
image.png

在关键字插入标签即可绕过。


二,代码与数据可转换

一门新的编程语言,为了使用方便,常常需要把一些代码转化成数据,或者把一些数据转化成代码,这可能导致安全问题。下面我们将以几个案例演示这一点,


案例一 不安全的模板渲染

模板渲染是编程语言常见的功能,有时具有一些安全问题。
前端部分
image.png

对应代码
image.png

模板部分
1661764806_630c84c60c4a79faf4278.png

我们可以看到,开发者已经殚精竭虑的做了安全限制,尽可能的避免漏洞,每一个变量的限制都在避免产生漏洞,然而,依旧产生了漏洞。这是因为这依旧没能完全分离数据与代码,导致安全问题。
1661764952_630c8558bb8f91f7afc37.png
在user部分输入)/*
接着在punc部分输入*/ 任意一个无字母数字的shell ?>
让punc从数据变成代码,跳出安全限制,顺利getshell。
要知道,开发者已经殚精竭虑的做了安全限制,却仍然被突破。错误的渲染方式可能导致数据与代码没有严格分离,造成漏洞。


案例二 跨语言的数据传递

这种新的编程语言有时需要与其他语言的脚本交互,传输数据时就可能采用标记语言,比如xml、json、yaml等等。或者是使用配置文件来储存一些关键常量。这样有时会造成安全问题。
yaml是一种可以储存数组、对象、列表等各种数据类型用于书写配置文件或者跨语言传输数据使用的标记语言。
以yaml反序列化漏洞为例。
python部分
功能是给在线解压的压缩包写一个配置文件
1661766690_630c8c22c266849187e87.png

yaml部分
当我们以某种方式覆盖这个yaml文件,换成如下内容,就会形成反弹shell。
image.png


三,可预测的安全处理方式

一门新的编程语言,势必会有一些逻辑代码来提高安全性,当我们不是选择拒绝非法输入而是对非法输入进行安全处理时,就可能造成安全问题。


案例一 人性化矫正输入

有时我们会善意的为输入者可能的错误输入形式进行矫正,这可能为攻击者提供便利。
以CVE-2022-30333为例
在unRAR小于 6.12的版本中,存在一个由于人性化矫正输入引发的漏洞,简单的来说,我们可以输入解压后的文件路径,开发者已经在这里殚精竭虑的做了安全限制,会把…/等尝试目录穿越的操作认为是危险。但是,仍然产生了漏洞。函数DosSlashToUnix()出于人性化的考虑把\(反斜杠)转化为/(正斜杠),使得…\能够变成…/绕过安全检查,导致目录穿越。最终效果就是可以在任何目录下写入任意文件。


案例二 不安全的安全性过滤输入

我们如果修改非法输入而不是拒绝非法输入,就很可能产生问题。
以sql注入的不成熟防御为例。
image.png

image.png

有的人可能会说黑名单不全,事实上就算把sql所有保留字列入黑名单依旧存在问题,因为你并不是拒绝输入而是改写输入,这个情景下可以双写绕过。
输入?id=’ oorr 1=1#
因为输入被改写了,可预测的改写形式能够被利用,造成绕过。


案例三 可预测的密钥加密

当我们把某个认为攻击者不可能获取的系统变量作为密钥,为程序的安全性沾沾自喜时,也许就会翻车。
以flask模块的session为例
image.png

flask的session放在COOKIE中,通过密钥加密保证其未i被篡改。而这里密钥就是主机名,如果通过某种方式获取了这一变量,就会导致session被攻击者完全控制,攻陷网站所有的用户以及管理员。
image.png

后续服务中提供的下载功能具有缺陷,组合拳导致session也沦陷。


四,意外的可控变量

这门全新变成语言肯定需要与用户交互,从而控制一些变量。我们通常会对其进行安全检查,所以,出现意外的可控变量(我们认为不可控但实际上用户可控)就很容易导致安全问题。


案例一 把变量储存在两个地方

当我们把变量储存在两个地方,就可能导致安全检查失效。
以二次注入为例
image.png

image.png

这里实现了一个用户登录功能,开发者已经在这里殚精竭虑的做了安全限制,各种转义处理。但是他把变量储存在了两个地方,导致漏洞仍然出现。
image.png

我们可以发现那个非法输入藏在session逃过了安全检查,如果构造username=’ or 1=1#
就可以修改所有用户的密码。


案例二 认为某可控变量不可控

实际上编程语言中即使采用获取常量的方式获取一些变量,也不能大意,它们也许还是可控的。
以User-agent注入为例。
image.png

image.png

可以看到开发者已经在这里殚精竭虑的做了安全限制,安全意识很强,但是依旧出现问题。
image.png

这都是因为开发者使用的语言中,获取变量的方式也许是常量形式,开发者认为其不可控引起的。


结语


具有安全意识的开发者仍然可能产生漏洞,因为很多开发用不到的特性、甚至编程语言官方非预期的情景不是开发者掌握的知识,代码安全审计是必要的。这门全新的编程语言可能出现的问题却是任何编程语言代码安全审计需要注意的共通之处。



推荐阅读
  • 深入解析Struts、Spring与Hibernate三大框架的面试要点与技巧 ... [详细]
  • 在 Axublog 1.1.0 版本的 `c_login.php` 文件中发现了一个严重的 SQL 注入漏洞。该漏洞允许攻击者通过操纵登录请求中的参数,注入恶意 SQL 代码,从而可能获取敏感信息或对数据库进行未授权操作。建议用户尽快更新到最新版本并采取相应的安全措施以防止潜在的风险。 ... [详细]
  • Web开发框架概览:Java与JavaScript技术及框架综述
    Web开发涉及服务器端和客户端的协同工作。在服务器端,Java是一种优秀的编程语言,适用于构建各种功能模块,如通过Servlet实现特定服务。客户端则主要依赖HTML进行内容展示,同时借助JavaScript增强交互性和动态效果。此外,现代Web开发还广泛使用各种框架和库,如Spring Boot、React和Vue.js,以提高开发效率和应用性能。 ... [详细]
  • 本文详细介绍了在 Vue.js 前端框架中集成 vue-i18n 插件以实现多语言支持的方法。通过具体的配置步骤和示例代码,帮助开发者快速掌握如何在项目中实现国际化功能,提升用户体验。同时,文章还探讨了常见的多语言切换问题及解决方案,为开发人员提供了实用的参考。 ... [详细]
  • CentOS 7环境下Jenkins的安装与前后端应用部署详解
    CentOS 7环境下Jenkins的安装与前后端应用部署详解 ... [详细]
  • 用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
    HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的HTTP的网站是不 ... [详细]
  • 网站访问全流程解析
    本文详细介绍了从用户在浏览器中输入一个域名(如www.yy.com)到页面完全展示的整个过程,包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]
  • 秒建一个后台管理系统?用这5个开源免费的Java项目就够了
    秒建一个后台管理系统?用这5个开源免费的Java项目就够了 ... [详细]
  • 本文将详细介绍如何在Mac上安装Jupyter Notebook,并提供一些常见的问题解决方法。通过这些步骤,您将能够顺利地在Mac上运行Jupyter Notebook。 ... [详细]
  • 本指南详细介绍了如何利用华为云对象存储服务构建视频点播(VoD)平台。通过结合开源技术如Ceph、WordPress、PHP和Nginx,用户可以高效地实现数据存储、内容管理和网站搭建。主要内容涵盖华为云对象存储系统的配置步骤、性能优化及安全设置,为开发者提供全面的技术支持。 ... [详细]
  • 小王详解:内部网络中最易理解的NAT原理剖析,挑战你的认知极限
    小王详解:内部网络中最易理解的NAT原理剖析,挑战你的认知极限 ... [详细]
  • 深入解析 Vue 中的 Axios 请求库
    本文深入探讨了 Vue 中的 Axios 请求库,详细解析了其核心功能与使用方法。Axios 是一个基于 Promise 的 HTTP 客户端,支持浏览器和 Node.js 环境。文章首先介绍了 Axios 的基本概念,随后通过具体示例展示了如何在 Vue 项目中集成和使用 Axios 进行数据请求。无论你是初学者还是有经验的开发者,本文都能为你解决 Vue.js 相关问题提供有价值的参考。 ... [详细]
  • 本文作为“实现简易版Spring系列”的第五篇,继前文深入探讨了Spring框架的核心技术之一——控制反转(IoC)之后,将重点转向另一个关键技术——面向切面编程(AOP)。对于使用Spring框架进行开发的开发者来说,AOP是一个不可或缺的概念。了解AOP的背景及其基本原理,对于掌握这一技术至关重要。本文将通过具体示例,详细解析AOP的实现机制,帮助读者更好地理解和应用这一技术。 ... [详细]
  • 解决 Windows Server 2016 网络连接问题
    本文详细介绍了如何解决 Windows Server 2016 在使用无线网络 (WLAN) 和有线网络 (以太网) 时遇到的连接问题。包括添加必要的功能和安装正确的驱动程序。 ... [详细]
  • 本项目在Java Maven框架下,利用POI库实现了Excel数据的高效导入与导出功能。通过优化数据处理流程,提升了数据操作的性能和稳定性。项目已发布至GitHub,当前最新版本为0.0.5。该项目不仅适用于小型应用,也可扩展用于大型企业级系统,提供了灵活的数据管理解决方案。GitHub地址:https://github.com/83945105/holygrail,Maven坐标:`com.github.83945105:holygrail:0.0.5`。 ... [详细]
author-avatar
seoer
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有